Tutoriel : Comment créer un espace de travail sécurisé à l’aide d’un modèle
Les modèles offrent un moyen pratique de créer des déploiements de service reproductibles. Le modèle définit ce qui sera créé, avec certaines informations que vous fournissez lorsque vous utilisez le modèle. Par exemple, en spécifiant un nom unique pour l’espace de travail Azure Machine Learning.
Dans ce didacticiel, vous allez apprendre à utiliser un modèle Microsoft Bicep et Hashicorp Terraform pour créer les ressources Azure suivantes :
- Réseau virtuel Azure. Les ressources suivantes sont sécurisées derrière ce réseau virtuel :
- Espace de travail Azure Machine Learning
- Instance de calcul Azure Machine Learning
- Cluster de calcul Azure Machine Learning
- Compte Stockage Azure
- Azure Key Vault
- Azure Application Insights
- Azure Container Registry
- Hôte Azure Bastion
- Machine virtuelle Azure Machine Learning (Data Science Virtual Machine)
- Le modèle Bicep crée également un cluster Azure Kubernetes Service et un groupe de ressources distinct pour celui-ci.
- Espace de travail Azure Machine Learning
Conseil
Microsoft recommande d'utiliser les réseaux virtuels managés par Azure Machine Learning au lieu de suivre les étapes décrites dans cet article. Avec un réseau virtuel managé, Azure Machine Learning gère le travail d’isolement réseau pour votre espace de travail et vos calculs managés. Vous pouvez également ajouter des points de terminaison privés pour les ressources dont l’espace de travail a besoin, par exemple un compte de stockage Azure. Pour plus d’informations, consultez Isolement réseau managé d’espace de travail.
Prérequis
Avant de suivre les étapes décrites dans cet article, vous devez disposer d’un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit.
Vous devez également disposer d’une ligne de commande Bash ou Azure PowerShell.
Conseil
Lors de la lecture de cet article, utilisez les onglets de chaque section pour indiquer si vous souhaitez afficher les informations sur l’utilisation de modèles Bicep ou Terraform.
Pour installer les outils en ligne de commande, consultez Configurer des environnements de développement et de déploiement Bicep.
Le modèle Bicep utilisé dans cet article se trouve à l’emplacement https://github.com/Azure/azure-quickstart-templates/blob/master/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure. Utilisez les commandes suivantes pour cloner le dépôt GitHub dans votre environnement de développement :
Conseil
Si vous ne disposez pas de la commande
gitdans votre environnement de développement, vous pouvez l’installer à partir de https://git-scm.com/.git clone https://github.com/Azure/azure-quickstart-templates cd azure-quickstart-templates/quickstarts/microsoft.machinelearningservices/machine-learning-end-to-end-secure
Compréhension du modèle
Le modèle Bicep est constitué des fichiers main.bicep et .bicep fichiers contenus dans le sous-répertoire modules. Le tableau suivant décrit le rôle de chaque fichier :
| Fichier | Description |
|---|---|
| main.bicep | Paramètres et variables. Passage de variables et de paramètres à d’autres modules dans le sous-répertoire modules. |
| vnet.bicep | Définit le réseau virtuel et les sous-réseaux Azure. |
| nsg.bicep | Définit les règles de groupe de sécurité réseau pour le réseau virtuel. |
| bastion.bicep | Définit l’hôte et le sous-réseau Azure Bastion. Azure bastion vous permet d’accéder facilement à une machine virtuelle à l’intérieur du réseau virtuel à l’aide de votre navigateur web. |
| dsvmjumpbox.bicep | Définit la Data Science Virtual Machine (DSVM). Azure Bastion est utilisé pour accéder à cette machine virtuelle via votre navigateur web. |
| storage.bicep | Définit le compte stockage Azure que l’espace de travail utilise pour le stockage par défaut. |
| keyvault.bicep | Définit l’Azure Key Vault que l’espace de travail utilise. |
| containerregistry.bicep | Définit l’Azure Container Registry que l’espace de travail utilise. |
| applicationinsights.bicep | Définit l’instance Azure Application Insights que l’espace de travail utilise. |
| machinelearningnetworking.bicep | Définit les points de terminaison privés et les zones DNS pour l’espace de travail Azure Machine Learning. |
| Machinelearning.bicep | Définit l’espace de travail Azure Machine Learning. |
| machinelearningcompute.bicep | Définit un cluster et une instance de calcul Azure Machine Learning. |
| privateaks.bicep | Définit une instance de cluster Azure Kubernetes Service. |
Important
Les exemples de modèles n’utilisent peut-être pas toujours la dernière version d’API pour Azure Machine Learning. Avant d’utiliser le modèle, nous vous recommandons de le modifier afin qu’il utilise les dernières versions d’API. Pour plus d’informations sur les dernières versions d’API pour Azure Machine Learning, consultez API REST Azure Machine Learning.
Chaque service Azure a son propre ensemble de versions d’API. Pour plus d’informations sur l’API d’un service en particulier, consultez les informations du service dans Informations de référence sur les API REST Azure.
Pour mettre à jour la version d’API, recherchez l’entrée Microsoft.MachineLearningServices/<resource> du type de la ressource et mettez-la à jour vers la dernière version. L’exemple suivant est une entrée pour l’espace de travail Azure Machine Learning qui utilise la version d’API 2022-05-01 :
resource machineLearning 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {
Important
La DSVM et Azure Bastion sont utilisés comme un moyen simple de se connecter à l’espace de travail sécurisé pour ce didacticiel. Dans un environnement de production, nous vous recommandons d’utiliser une passerelle VPN Azure ou Azure ExpressRoute pour accéder aux ressources à l’intérieur du réseau virtuel directement à partir de votre réseau local.
Configurer le modèle
Pour exécuter le modèle Bicep, utilisez les commandes suivantes à partir de l’emplacement machine-learning-end-to-end-secure où se trouve le fichier main.bicep :
Pour créer un groupe de ressources Azure, utilisez la commande suivante. Remplacez
exampleRGpar le nom de votre groupe de ressources eteastuspar la région Azure que vous souhaitez utiliser :az group create --name exampleRG --location eastusPour exécuter le modèle, utilisez la commande suivante. Remplacez le
prefixpar un préfixe unique. Le préfixe sera utilisé lors de la création de ressources Azure requises pour Azure Machine Learning. Remplacezsecurepasswordpar un mot de passe sécurisé pour le serveur de rebond. Le mot de passe est destiné au compte de connexion pour le serveur de rebond (azureadmindans les exemples ci-dessous) :Conseil
prefixdoit comporter 5 caractères ou moins. Il ne peut pas être entièrement numérique ou contenir les caractères suivants :~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.az deployment group create \ --resource-group exampleRG \ --template-file main.bicep \ --parameters \ prefix=prefix \ dsvmJumpboxUsername=azureadmin \ dsvmJumpboxPassword=securepassword
Se connecter à l’espace de travail
Une fois le modèle terminé, procédez comme suit pour vous connecter à la DSVM :
Dans le portail Azure, sélectionnez le groupe de ressources Azure que vous avez utilisé avec le modèle. Ensuite, sélectionnez la Data Science Virtual Machine que le modèle a créée. Si vous éprouvez des difficultés à la trouver, utilisez la section des filtres pour filtrer le Type sur machine virtuelle.
Dans la section vue d’ensemble de la machine virtuelle, sélectionnez Se connecter, puis Bastion dans la liste déroulante.
Lorsque vous y êtes invité, entrez le nom d’utilisateur et le mot de passe que vous avez spécifiés lors de la configuration du modèle, puis sélectionnez Se connecter.
Important
La première fois que vous vous connectez au bureau DSVM, une fenêtre PowerShell s’ouvre et commence à exécuter un script. Attendez la fin de opération avant de passer à l’étape suivante.
À partir du bureau DSVM, démarrez Microsoft Edge, puis entrez
https://ml.azure.comcomme adresse. Connectez-vous à votre abonnement Azure, puis sélectionnez l’espace de travail créé par le modèle. Le studio de votre espace de travail s’affiche.
Dépannage
Erreur : Le nom d’ordinateur Windows ne peut pas comporter plus de 15 caractères, ni être entièrement constitué de chiffres, ni contenir les caractères suivants
Cette erreur peut se produire lorsque le nom du serveur de rebond DSVM est supérieur à 15 caractères ou inclut l’un des caractères suivants : ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
Lors de l’utilisation du modèle Bicep, le nom du serveur de rebond est généré par programmation à l’aide de la valeur de préfixe fournie au modèle. Pour vous assurer que le nom ne dépasse pas 15 caractères ou ne contient pas de caractères non valides, utilisez un préfixe de 5 caractères ou moins et n’utilisez aucun des caractères suivants dans le préfixe : ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
Lors de l’utilisation du modèle Terraform, le nom du serveur de rebond est passé à l’aide du paramètre dsvm_name. Pour éviter cette erreur, utilisez un nom qui ne dépasse pas 15 caractères et n’utilise aucun des caractères suivants dans le nom : ~ ! @ # $ % ^ & * ( ) = + _ [ ] { } \ | ; : . ' " , < > / ?.
Étapes suivantes
Important
La Data Science Virtual Machine (DSVM) et toutes les ressources d’instance de calcul vous sont facturées pour chaque heure d’exécution. Pour éviter des frais excessifs, vous devez arrêter ces ressources quand elles ne sont pas utilisées. Pour plus d’informations, consultez les articles suivants :
Pour poursuivre l’apprentissage de l’utilisation de l’espace de travail sécurisé à partir de la DSVM, consultez Didacticiel : Azure Machine Learning en un jour.
Pour en savoir plus sur les configurations d’espace de travail sécurisé courantes et les exigences d’entrée/sortie, consultez Flux de trafic d’espace de travail sécurisé Azure Machine Learning.